ProHoster > Блог > интернет мэдээ > UEBA зах зээл үхсэн - UEBA урт наслаарай

UEBA зах зээл үхсэн - UEBA урт наслаарай

UEBA зах зээл үхсэн - UEBA урт наслаарай

Өнөөдөр бид хамгийн сүүлийн үеийн мэдээлэлд үндэслэн Хэрэглэгч ба Аж ахуйн нэгжийн зан үйлийн аналитик (UEBA) зах зээлийн товч тоймыг өгөх болно. Гартнерийн судалгаа. Gartner Hype Cycle for Threat-Facing Technologies-ийн дагуу UEBA-ийн зах зээл "сэтгэл алдалтын үе шат"-ын доод хэсэгт байгаа нь технологийн төлөвшлийг харуулж байна. Гэвч нөхцөл байдлын парадокс нь UEBA технологид оруулсан хөрөнгө оруулалтын ерөнхий өсөлт, UEBA-ийн бие даасан шийдлүүдийн зах зээл алга болж байгаа явдал юм. UEBA нь холбогдох мэдээллийн аюулгүй байдлын шийдлүүдийн нэг хэсэг болно гэж Gartner таамаглаж байна. "UEBA" гэсэн нэр томъёо нь хэрэглээнээс гарч, илүү нарийхан хэрэглээний талбарт (жишээ нь, "хэрэглэгчийн зан төлөвийн аналитик"), ижил төстэй хэрэглээний талбарт (жишээ нь, "өгөгдлийн аналитик") чиглэсэн өөр товчлолоор солигдох эсвэл зүгээр л зарим нэг товчлолоор солигдох магадлалтай. шинэ шуугиан (жишээлбэл, "хиймэл оюун ухаан" [AI] гэсэн нэр томъёо нь орчин үеийн UEBA үйлдвэрлэгчдэд ямар ч утгагүй боловч сонирхолтой харагдаж байна).

Гартнерын судалгааны гол үр дүнг дараах байдлаар нэгтгэн дүгнэж болно.

  • Хэрэглэгчид болон аж ахуйн нэгжүүдийн зан үйлийн аналитик зах зээлийн төлөвшил нь эдгээр технологийг дунд болон том корпорацийн сегментэд бизнесийн олон асуудлыг шийдвэрлэхэд ашигладаг гэдгээр нотлогддог;
  • UEBA аналитик чадварууд нь үүлэн хандалтын аюулгүй байдлын брокерууд (CASBs), таниулах засаглал, удирдлагын (IGA) SIEM систем зэрэг холбогдох мэдээллийн аюулгүй байдлын өргөн хүрээний технологид суурилагдсан;
  • UEBA-ийн борлуулагчдын эргэн тойронд шуугиан дэгдээж, "хиймэл оюун ухаан" гэсэн нэр томъёог буруу ашигласан нь хэрэглэгчдэд туршилтын төсөл хэрэгжүүлэхгүйгээр үйлдвэрлэгчийн технологи, шийдлүүдийн үйл ажиллагааны бодит ялгааг ойлгоход хэцүү болгодог;
  • UEBA шийдлийг хэрэгжүүлэх хугацаа, өдөр тутмын хэрэглээ нь зөвхөн аюул заналыг илрүүлэх үндсэн загваруудыг авч үзсэн ч үйлдвэрлэгчийн амлаж байгаагаас илүү их хөдөлмөр, цаг хугацаа шаардагддаг гэдгийг хэрэглэгчид тэмдэглэж байна. Захиалгат эсвэл захын хэрэглээний тохиолдлуудыг нэмэх нь маш хэцүү бөгөөд өгөгдлийн шинжлэх ухаан, аналитикийн мэдлэг шаарддаг.

Стратегийн зах зээлийн хөгжлийн таамаглал:

  • 2021 он гэхэд хэрэглэгчийн болон байгууллагын зан төлөвийн аналитик (UEBA) системийн зах зээл нь тусдаа газар байхаа больж, UEBA функц бүхий бусад шийдлүүд рүү шилжих болно;
  • 2020 он гэхэд UEBA-ийн нийт ашиглалтын 95% нь илүү өргөн хүрээний аюулгүй байдлын платформын нэг хэсэг болно.

UEBA шийдлүүдийн тодорхойлолт

UEBA-ийн шийдлүүд нь хэрэглэгчид болон бусад байгууллагуудын (хостууд, програмууд, сүлжээний траффик, өгөгдлийн дэлгүүр гэх мэт) үйл ажиллагааг үнэлэхийн тулд суурилуулсан аналитикийг ашигладаг.
Тэд тодорхой хугацааны туршид ижил төстэй бүлгүүдийн хэрэглэгчид болон аж ахуйн нэгжүүдийн стандарт профайл, зан үйлтэй харьцуулахад хэвийн бус үйл ажиллагааг илэрхийлдэг аюул занал, болзошгүй ослыг илрүүлдэг.

Байгууллагын сегмент дэх хамгийн түгээмэл хэрэглээний тохиолдол бол аюул заналыг илрүүлэх, хариу арга хэмжээ авах, түүнчлэн дотоод аюул заналхийллийг илрүүлэх, хариу арга хэмжээ авах явдал юм (ихэвчлэн эвдэрсэн дотоод хүмүүс; заримдаа дотоод халдагч).

UEBA шиг байна шийдвэрТэгээд функц, тусгай хэрэгсэлд суулгасан:

  • Энэхүү шийдэл нь "цэвэр" UEBA платформ үйлдвэрлэгчид, тэр дундаа SIEM шийдлүүдийг тусад нь зардаг борлуулагчид юм. Хэрэглэгчид болон аж ахуйн нэгжүүдийн зан үйлийн аналитикийн өргөн хүрээний бизнесийн асуудалд анхаарлаа хандуулдаг.
  • Embedded – UEBA-ийн үйл ажиллагаа, технологийг шийдэлдээ нэгтгэдэг үйлдвэрлэгчид/хэсэгүүд. Ихэвчлэн бизнесийн илүү тодорхой асуудлуудад төвлөрдөг. Энэ тохиолдолд UEBA-г хэрэглэгчид болон/эсвэл аж ахуйн нэгжүүдийн зан төлөвт дүн шинжилгээ хийхэд ашигладаг.

Gartner UEBA-г асуудал шийдэгч, аналитик, мэдээллийн эх сурвалж зэрэг гурван тэнхлэгийн дагуу хардаг (зураг харна уу).

UEBA зах зээл үхсэн - UEBA урт наслаарай

"Цэвэр" UEBA платформууд нь суурилуулсан UEBA-тай харьцуулахад

Gartner нь "цэвэр" UEBA платформыг дараахь шийдлүүд гэж үздэг.

  • зөвхөн хийсвэр "хэрэглэгчийн хэвийн бус үйл ажиллагааг хянах" бус давуу эрхтэй хэрэглэгчдийг хянах эсвэл байгууллагаас гадуур өгөгдөл гаргах зэрэг хэд хэдэн тодорхой асуудлыг шийдвэрлэх;
  • үндсэн аналитик аргад тулгуурласан нарийн төвөгтэй аналитик ашиглах;
  • Дэд бүтцэд тусдаа агентуудыг заавал байршуулах шаардлагагүйгээр өгөгдөл цуглуулах хэд хэдэн сонголтыг өгөх, үүнд суурилагдсан мэдээллийн эх үүсвэрийн механизм болон бүртгэлийн удирдлагын хэрэгслүүд, Data lake ба/эсвэл SIEM системүүд орно;
  • -д оруулахаас илүүтэйгээр бие даасан шийдэл болгон худалдан авч, ашиглах боломжтой
    бусад бүтээгдэхүүний найрлага.

Доорх хүснэгтэд хоёр аргыг харьцуулсан болно.

Хүснэгт 1. “Цэвэр” UEBA шийдлүүд болон суурилуулсан шийдэл

зэрэг "Цэвэр" UEBA платформууд UEBA-г суурилуулсан бусад шийдлүүд
Шийдэх асуудал Хэрэглэгчийн зан байдал, аж ахуйн нэгжийн шинжилгээ. Өгөгдлийн хомсдол нь UEBA-г зөвхөн хэрэглэгчид эсвэл аж ахуйн нэгжийн зан төлөвт дүн шинжилгээ хийх боломжийг хязгаарлаж болзошгүй.
Шийдэх асуудал Өргөн хүрээний асуудлыг шийдвэрлэхэд үйлчилдэг Хязгаарлагдмал багц даалгаварт мэргэшсэн
Аналитик Төрөл бүрийн аналитик аргуудыг ашиглан гажиг илрүүлэх - голчлон статистик загвар, машин сургалт, дүрэм, гарын үсгийн хамт. Хэрэглэгч болон аж ахуйн нэгжийн үйл ажиллагааг өөрсдийн болон хамтран ажиллагсдынхаа профайлтай харьцуулах, үүсгэх, харьцуулах зориулалттай аналитикийн хамт ирдэг. Цэвэр UEBA-тай төстэй боловч шинжилгээг зөвхөн хэрэглэгчид болон/эсвэл аж ахуйн нэгжүүдэд хязгаарлаж болно.
Аналитик Зөвхөн дүрмээр хязгаарлагдахгүй, дэвшилтэт аналитик чадвар. Жишээлбэл, нэгжүүдийн динамик бүлэгтэй кластерийн алгоритм. "Цэвэр" UEBA-тай төстэй боловч зарим суулгагдсан аюулын загвар дахь аж ахуйн нэгжийн бүлэглэлийг зөвхөн гараар өөрчлөх боломжтой.
Аналитик Хэрэглэгчид болон бусад аж ахуйн нэгжүүдийн үйл ажиллагаа, зан үйлийн хамаарал (жишээлбэл, Bayesian сүлжээг ашиглах), хэвийн бус үйл ажиллагааг тодорхойлохын тулд хувь хүний ​​эрсдэлт зан үйлийг нэгтгэх. Цэвэр UEBA-тай төстэй боловч шинжилгээг зөвхөн хэрэглэгчид болон/эсвэл аж ахуйн нэгжүүдэд хязгаарлаж болно.
Мэдээллийн эх сурвалжууд SIEM эсвэл Data lake гэх мэт суурилагдсан механизм эсвэл одоо байгаа мэдээллийн сангуудаар дамжуулан өгөгдлийн эх сурвалжаас хэрэглэгчид болон аж ахуйн нэгжийн үйл явдлыг шууд хүлээн авах. Мэдээлэл олж авах механизмууд нь ихэвчлэн шууд байдаг бөгөөд зөвхөн хэрэглэгчид болон/эсвэл бусад байгууллагуудад нөлөөлдөг. Бүртгэлийн менежментийн хэрэгсэл / SIEM / Data lake ашиглаж болохгүй.
Мэдээллийн эх сурвалжууд Энэхүү шийдэл нь мэдээллийн гол эх сурвалж болох сүлжээний траффик дээр тулгуурлаад зогсохгүй телеметрийг цуглуулахдаа зөвхөн өөрийн агентуудад найдах ёсгүй. Энэхүү шийдэл нь зөвхөн сүлжээний траффик дээр төвлөрч чаддаг (жишээлбэл, NTA - сүлжээний траффикийн шинжилгээ) ба/эсвэл түүний агентуудыг эцсийн төхөөрөмжүүд дээр (жишээлбэл, ажилчдын хяналтын хэрэгслүүд) ашиглах боломжтой.
Мэдээллийн эх сурвалжууд Хэрэглэгч/байгууллагын өгөгдлийг контекстээр дүүргэх. Бодит цаг хугацаанд бүтэцлэгдсэн үйл явдлуудыг цуглуулах, түүнчлэн мэдээллийн технологийн лавлах сангаас бүтэцлэгдсэн/бүтэцгүй нэгдмэл мэдээлэл цуглуулахыг дэмждэг - жишээлбэл, Active Directory (AD) эсвэл бусад машин уншдаг мэдээллийн нөөцүүд (жишээлбэл, хүний ​​нөөцийн мэдээллийн сан). Цэвэр UEBA-тай төстэй боловч контекст мэдээллийн хамрах хүрээ нь тохиолдол бүрт өөр байж болно. AD болон LDAP нь суулгагдсан UEBA шийдлүүдийн ашигладаг хамгийн түгээмэл контекст мэдээллийн сангууд юм.
Бэлэн байдал Жагсаалтад орсон шинж чанаруудыг бие даасан бүтээгдэхүүн болгон өгдөг. UEBA-ийн суурилуулсан функцийг түүний суурилуулсан гадаад шийдлийг худалдаж авахгүйгээр худалдаж авах боломжгүй юм.
Эх сурвалж: Gartner (2019 оны XNUMX-р сар)

Тиймээс тодорхой асуудлуудыг шийдвэрлэхийн тулд суулгагдсан UEBA нь UEBA-ийн үндсэн аналитикийг (жишээлбэл, энгийн хяналтгүй машин сургалт) ашиглаж болох боловч яг шаардлагатай өгөгдөлд хандах боломжтой тул "цэвэр" -ээс илүү үр дүнтэй байх боломжтой. UEBA шийдэл. Үүний зэрэгцээ, "цэвэр" UEBA платформууд нь хүлээгдэж буйчлан, суурилуулсан UEBA хэрэгсэлтэй харьцуулахад илүү төвөгтэй аналитикийг гол ноу-хау болгон санал болгодог. Эдгээр үр дүнг 2-р хүснэгтэд нэгтгэн үзүүлэв.

Хүснэгт 2. “Цэвэр” болон баригдсан UEBA-ийн ялгааны үр дүн

зэрэг "Цэвэр" UEBA платформууд UEBA-г суурилуулсан бусад шийдлүүд
Аналитик Бизнесийн янз бүрийн асуудлыг шийдвэрлэхэд ашиглах боломжтой гэдэг нь илүү нарийн төвөгтэй аналитик болон машин сургалтын загварт анхаарлаа хандуулсан UEBA функцүүдийн илүү түгээмэл багцыг агуулдаг. Жижиг хэмжээний бизнесийн асуудалд анхаарлаа төвлөрүүлэх нь илүү энгийн логиктой, програмд ​​зориулагдсан загварт анхаарлаа төвлөрүүлдэг өндөр мэргэшсэн функцуудыг хэлнэ.
Аналитик Хэрэглээний хувилбар бүрийн хувьд аналитик загварыг өөрчлөх шаардлагатай. Аналитик загварууд нь UEBA суулгасан хэрэгсэлд зориулж урьдчилан тохируулагдсан байдаг. UEBA-г суурилуулсан хэрэгсэл нь бизнесийн тодорхой асуудлыг шийдвэрлэхэд илүү хурдан үр дүнд хүрдэг.
Мэдээллийн эх сурвалжууд Байгууллагын дэд бүтцийн өнцөг булан бүрээс мэдээллийн эх сурвалжид хандах. Цөөн өгөгдлийн эх үүсвэрүүд нь ихэвчлэн тэдэнд зориулсан агентууд эсвэл UEBA функц бүхий хэрэглүүрээр хязгаарлагддаг.
Мэдээллийн эх сурвалжууд Бүртгэл бүрт агуулагдах мэдээлэл нь мэдээллийн эх сурвалжаар хязгаарлагдах бөгөөд төвлөрсөн UEBA хэрэгсэлд шаардлагатай бүх өгөгдлийг агуулаагүй байж болно. Агентаас цуглуулж, UEBA-д дамжуулсан түүхий мэдээллийн хэмжээ, нарийвчилсан мэдээллийг тусгайлан тохируулж болно.
архитектур Энэ нь аливаа байгууллагад зориулсан UEBA-ийн бүрэн бүтээгдэхүүн юм. SIEM систем эсвэл Дата нуурын чадавхийг ашиглан нэгтгэх нь илүү хялбар байдаг. UEBA-г суурилуулсан шийдэл бүрийн хувьд UEBA-ийн тусдаа багц функцуудыг шаарддаг. UEBA-ийн суулгагдсан шийдлүүд нь агентуудыг суулгах, өгөгдлийг удирдахыг шаарддаг.
Интеграцчилал Тухайн тохиолдол бүрт UEBA шийдлийг бусад хэрэгсэлтэй гараар нэгтгэх. Байгууллагад технологийн стекийг "аналоги дундаас хамгийн сайн" арга барилд тулгуурлан бүтээх боломжийг олгодог. UEBA функцүүдийн үндсэн багцуудыг үйлдвэрлэгч өөрөө уг хэрэгсэлд аль хэдийн оруулсан болно. UEBA модуль нь суурилагдсан бөгөөд үүнийг арилгах боломжгүй тул хэрэглэгчид үүнийг өөрийн гэсэн зүйлээр солих боломжгүй.
Эх сурвалж: Gartner (2019 оны XNUMX-р сар)

UEBA функц болгон

UEBA нь нэмэлт аналитик үр шимийг хүртэх боломжтой кибер аюулгүй байдлын төгсгөлийн шийдлүүдийн онцлог болж байна. UEBA нь эдгээр шийдлүүдийн үндэс суурь бөгөөд хэрэглэгчийн болон/эсвэл аж ахуйн нэгжийн зан үйлийн хэв маягт суурилсан дэвшилтэт аналитикийн хүчирхэг давхаргыг хангадаг.

Одоогийн байдлаар зах зээл дээр суурилуулсан UEBA функцийг технологийн хамрах хүрээгээр бүлэглэсэн дараахь шийдлүүдэд хэрэгжүүлдэг.

  • Өгөгдөл төвлөрсөн аудит, хамгаалалт, нь бүтэцлэгдсэн болон бүтэцгүй өгөгдөл хадгалах (DCAP гэх) аюулгүй байдлыг сайжруулахад чиглэсэн үйлдвэрлэгчид юм.

    Энэ ангиллын борлуулагчид Gartner тэмдэглэж байна. Varonis кибер аюулгүй байдлын платформ, энэ нь өөр өөр мэдээллийн сангууд дахь бүтэцгүй өгөгдлийн зөвшөөрөл, хандалт, ашиглалтын өөрчлөлтийг хянахын тулд хэрэглэгчийн зан төлөвийн аналитикийг санал болгодог.

  • CASB системүүд, дасан зохицох хандалтын хяналтын системийг ашиглан хүсээгүй төхөөрөмж, хэрэглэгчид болон програмын хувилбаруудын үүлэн үйлчилгээнд хандах хандалтыг хаах замаар үүлд суурилсан SaaS програмууд дахь янз бүрийн аюулаас хамгаалах боломжийг санал болгодог.

    Зах зээлд тэргүүлэгч CASB-ийн бүх шийдлүүд нь UEBA-ийн чадавхийг агуулдаг.

  • DLP шийдлүүд - чухал мэдээллийг байгууллагаас гадуур дамжуулах эсвэл буруугаар ашиглахыг илрүүлэхэд чиглэсэн.

    DLP дэвшилтүүд нь гол төлөв контентыг ойлгоход суурилдаг бөгөөд хэрэглэгч, програм, байршил, цаг хугацаа, үйл явдлын хурд болон бусад гадны хүчин зүйлс зэрэг нөхцөл байдлыг ойлгоход бага анхаардаг. Үр дүнтэй байхын тулд DLP бүтээгдэхүүн нь агуулга болон контекстийг хоёуланг нь таних ёстой. Тийм ч учраас олон үйлдвэрлэгчид UEBA функцийг шийдэлдээ нэгтгэж эхэлж байна.

  • Ажилчдын хяналт Энэ нь ажилтны үйлдлийг ихэвчлэн хуулийн процесст (шаардлагатай бол) тохиромжтой мэдээллийн форматаар бүртгэх, дахин тоглуулах чадвар юм.

    Хэрэглэгчдийг байнга хянаж байх нь ихэвчлэн гараар шүүж, хүний ​​шинжилгээ хийх шаардлагатай асар их хэмжээний өгөгдлийг үүсгэдэг. Тиймээс эдгээр шийдлүүдийн гүйцэтгэлийг сайжруулах, зөвхөн өндөр эрсдэлтэй тохиолдлыг илрүүлэх зорилгоор UEBA-г хяналтын систем дотор ашигладаг.

  • Төгсгөлийн цэгийн аюулгүй байдал – Төгсгөлийн цэг илрүүлэх, хариу арга хэмжээ авах (EDR) шийдлүүд болон төгсгөлийн хамгаалалтын платформууд (EPP) нь хүчирхэг багаж хэрэгсэл, үйлдлийн системийн телеметрийг хангадаг.
    эцсийн төхөөрөмжүүд.

    Хэрэглэгчтэй холбоотой ийм телеметрийг UEBA-д суурилуулсан функцээр хангахын тулд дүн шинжилгээ хийж болно.

  • Онлайн залилан – Онлайн залилан илрүүлэх шийдлүүд нь хууран мэхлэлт, хортой программ хангамж, хамгаалалтгүй холболт/хөтчийн замын хөдөлгөөнийг таслан зогсоох замаар хэрэглэгчийн дансыг эвдэж байгааг илтгэх гажуудсан үйл ажиллагааг илрүүлдэг.

    Ихэнх залилангийн шийдлүүд нь UEBA-ийн мөн чанар, гүйлгээний дүн шинжилгээ, төхөөрөмжийн хэмжилтийг ашигладаг бөгөөд илүү дэвшилтэт системүүд нь таних мэдээллийн сан дахь харилцааг тохируулах замаар тэдгээрийг нөхдөг.

  • IAM болон хандалтын хяналт – Гартнер хандалтын хяналтын системийн үйлдвэрлэгчдийн дунд цэвэр үйлдвэрлэгчидтэй нэгдэж, бүтээгдэхүүндээ UEBA-ийн зарим функцийг бий болгох хувьслын чиг хандлагыг тэмдэглэж байна.
  • IAM болон Identity Governance and Administration (IGA) системүүд UEBA-г гажиг илрүүлэх, ижил төстэй аж ахуйн нэгжүүдийн динамик бүлгийн дүн шинжилгээ, нэвтрэх дүн шинжилгээ, хандалтын бодлогын шинжилгээ зэрэг зан үйлийн болон таних тэмдгийн аналитик хувилбаруудыг хамрахад ашиглах.
  • IAM ба давуу эрхт хандалтын менежмент (PAM) – Захиргааны дансны ашиглалтыг хянах үүрэгтэй учраас PAM шийдлүүд нь захиргааны дансыг хэрхэн, яагаад, хэзээ, хаана ашигласан болохыг харуулах телеметртэй байдаг. Энэ өгөгдлийг UEBA-ийн суулгасан функцийг ашиглан администраторуудын хэвийн бус үйлдэл эсвэл хорлонтой санаатай эсэхийг шинжлэх боломжтой.
  • Үйлдвэрлэгчдийн NTA (Сүлжээний хөдөлгөөний шинжилгээ) – Корпорацийн сүлжээн дэх сэжигтэй үйл ажиллагааг тодорхойлохын тулд машин сургалт, дэвшилтэт аналитик болон дүрэмд суурилсан илрүүлэлтийг хослуулан ашиглах.

    NTA хэрэгслүүд нь үндсэн траффик ба/эсвэл урсгалын бүртгэлд (жишээ нь: NetFlow) дүн шинжилгээ хийж, үндсэндээ аж ахуйн нэгжийн зан үйлийн аналитик дээр төвлөрч, сүлжээний хэвийн үйл ажиллагааг тусгасан загваруудыг бий болгодог.

  • сиэм – Олон SIEM борлуулагчид одоо SIEM-д эсвэл тусдаа UEBA модуль болгон өгөгдлийн аналитикийн дэвшилтэт функцтэй болсон. Нийтлэлд дурдсанчлан 2018 он болон 2019 он хүртэл SIEM болон UEBA функцын хоорондын хил хязгаар тасралтгүй бүдгэрч байна. "Орчин үеийн SIEM-ийн технологийн ойлголт". SIEM системүүд нь аналитиктай ажиллахдаа илүү сайн болж, илүү төвөгтэй хэрэглээний хувилбаруудыг санал болгодог.

UEBA програмын хувилбарууд

UEBA шийдэл нь олон төрлийн асуудлыг шийдэж чадна. Гэсэн хэдий ч Gartner-ийн үйлчлүүлэгчид үндсэн хэрэглээний тохиолдол нь хэрэглэгчийн зан төлөв болон бусад аж ахуйн нэгжүүдийн хоорондын тогтмол хамаарлыг харуулах, дүн шинжилгээ хийх замаар янз бүрийн ангиллын аюулыг илрүүлэх явдал гэдгийг хүлээн зөвшөөрч байна.

  • өгөгдөлд зөвшөөрөлгүй нэвтрэх, шилжүүлэх;
  • давуу эрх бүхий хэрэглэгчдийн сэжигтэй үйлдэл, ажилтнуудын хорлонтой эсвэл зөвшөөрөлгүй үйл ажиллагаа;
  • үүлэн нөөцийн стандарт бус хандалт, ашиглалт;
  • болон бусад.

Мөн залилан мэхлэх, ажилтны хяналт гэх мэт цахим аюулгүй байдлын бус ашиглалтын хэд хэдэн ердийн бус тохиолдол байдаг бөгөөд үүнийг UEBA зөвтгөж болно. Гэсэн хэдий ч тэд ихэвчлэн мэдээллийн технологи, мэдээллийн аюулгүй байдалтай холбоогүй мэдээллийн эх сурвалж эсвэл энэ чиглэлийн талаар гүнзгий ойлголттой тусгай аналитик загваруудыг шаарддаг. UEBA-ийн үйлдвэрлэгчид болон тэдний үйлчлүүлэгчид санал нийлдэг таван үндсэн хувилбар, програмуудыг доор тайлбарлав.

"Хоригтой дотоод хүн"

Энэ хувилбарыг хамарсан UEBA шийдлийн үйлчилгээ үзүүлэгчид зөвхөн ажилчид болон итгэмжлэгдсэн гэрээлэгчдийг ер бусын, "муу" эсвэл хорлонтой зан үйлийг хянадаг. Энэ чиглэлээр мэргэшсэн борлуулагчид үйлчилгээний данс болон бусад хүний ​​бус байгууллагуудын зан төлөвт хяналт тавьдаггүй, дүн шинжилгээ хийдэггүй. Үүний үндсэн дээр тэд хакерууд одоо байгаа дансуудыг булаан авах дэвшилтэт аюулыг илрүүлэхэд анхаарлаа төвлөрүүлдэггүй. Харин хор хөнөөлтэй үйл ажиллагаа явуулж буй ажилчдыг илрүүлэх зорилготой.

Үндсэндээ "хорлонтой инсайдер" гэсэн ойлголт нь ажил олгогчдоо хохирол учруулах арга замыг эрэлхийлдэг хорлонтой санаатай итгэмжлэгдсэн хэрэглэгчдээс үүдэлтэй. Хортой санааг хэмжихэд хэцүү байдаг тул энэ ангиллын шилдэг үйлдвэрлэгчид аудитын бүртгэлд тийм ч хялбар байдаггүй контекст зан үйлийн өгөгдөлд дүн шинжилгээ хийдэг.

Энэ орон зайд шийдлийн үйлчилгээ үзүүлэгчид зан үйлийн нөхцөл байдлыг хангахын тулд имэйлийн агуулга, бүтээмжийн тайлан эсвэл нийгмийн мэдээллийн мэдээлэл зэрэг бүтэцгүй өгөгдлийг оновчтой нэмж, дүн шинжилгээ хийдэг.

Нууцлагдсан дотоод мэдээлэл, интрузив аюул занал

Халдагч байгууллага руу нэвтэрч, мэдээллийн технологийн дэд бүтцэд шилжиж эхэлмэгц "муу" зан үйлийг хурдан илрүүлж, дүн шинжилгээ хийх нь сорилт юм.
Үл мэдэгдэх эсвэл бүрэн ойлгогдоогүй аюул заналхийлэл (APTs) нь илрүүлэхэд маш хэцүү бөгөөд ихэвчлэн хууль ёсны хэрэглэгчийн үйл ажиллагаа эсвэл үйлчилгээний дансны ард нуугддаг. Ийм аюул заналхийлэл нь ихэвчлэн нарийн төвөгтэй үйлдлийн загвартай байдаг (жишээлбэл, "Өгүүллийг үзнэ үү" Кибер аллагын гинжин хэлхээнд хандах нь") эсвэл тэдний зан авирыг хортой гэж хараахан үнэлээгүй байна. Энэ нь тэдгээрийг энгийн аналитик (загвар, босго, корреляцийн дүрмээр тааруулах гэх мэт) ашиглан илрүүлэхэд хэцүү болгодог.

Гэсэн хэдий ч эдгээр интрузив аюул заналхийллийн ихэнх нь стандарт бус зан үйлийг бий болгодог бөгөөд энэ нь ихэвчлэн сэжиггүй хэрэглэгчид эсвэл аж ахуйн нэгжүүдийг хамардаг. UEBA техникүүд нь ийм аюул заналыг илрүүлэх, дохио дуу чимээний харьцааг сайжруулах, мэдэгдлийн хэмжээг нэгтгэх, багасгах, үлдсэн сэрэмжлүүлгийг эрэмбэлэх, ослын үр дүнтэй хариу арга хэмжээ, мөрдөн байцаалтыг хөнгөвчлөх хэд хэдэн сонирхолтой боломжийг санал болгодог.

Энэ асуудлын талбарт чиглэсэн UEBA борлуулагчид ихэвчлэн байгууллагын SIEM системтэй хоёр чиглэлтэй интеграцчлагдсан байдаг.

Өгөгдлийн шүүрэлт

Энэ тохиолдолд даалгавар бол байгууллагаас гадуур өгөгдөл дамжуулж байгааг илрүүлэх явдал юм.
Борлуулагчид энэ сорилтод анхаарлаа төвлөрүүлж, ихэвчлэн гажиг илрүүлэх, дэвшилтэт аналитик бүхий DLP эсвэл DAG чадавхийг ашигладаг бөгөөд ингэснээр дохионы дуу чимээний харьцааг сайжруулж, мэдэгдлийн хэмжээг нэгтгэж, үлдсэн өдөөгчийг эрэмбэлдэг. Нэмэлт контекстийн хувьд борлуулагчид ихэвчлэн сүлжээний траффик (вэб прокси гэх мэт) болон эцсийн цэгийн өгөгдөлд илүү их найддаг, учир нь эдгээр мэдээллийн эх сурвалжийн дүн шинжилгээ нь өгөгдлийн шүүрлийн судалгаанд тус дөхөм болдог.

Өгөгдлийн шүүрэлтийг илрүүлэх нь байгууллагад заналхийлж буй дотоод болон гадны хакеруудыг барихад ашиглагддаг.

Давуу эрхтэй хандалтыг тодорхойлох, удирдах

Энэхүү мэргэжлийн чиглэлээр бие даасан UEBA шийдлүүдийг үйлдвэрлэгчид хэт их давуу эрх эсвэл хэвийн бус хандалтыг илрүүлэхийн тулд аль хэдийн бий болсон эрхийн тогтолцооны дэвсгэр дээр хэрэглэгчийн зан төлөвийг ажиглаж, дүн шинжилгээ хийдэг. Энэ нь давуу эрх болон үйлчилгээний данс зэрэг бүх төрлийн хэрэглэгчид болон бүртгэлд хамаарна. Байгууллагууд мөн UEBA-г ашиглан унтаа данс, шаардлагатай хэмжээнээс өндөр хэрэглэгчийн эрхээс ангижруулдаг.

Ослын тэргүүлэх чиглэл

Энэхүү даалгаврын зорилго нь технологийн стек дэх шийдлүүдээс үүссэн мэдэгдлүүдийг эрэмбэлэх, аль осол эсвэл болзошгүй ослыг хамгийн түрүүнд шийдвэрлэх ёстойг ойлгох явдал юм. UEBA-ийн арга зүй, хэрэгсэл нь тухайн байгууллагын хувьд нэн хэвийн бус эсвэл онцгой аюултай тохиолдлуудыг тодорхойлоход тустай. Энэ тохиолдолд UEBA механизм нь үйл ажиллагааны суурь түвшин, аюул заналхийллийн загваруудыг ашиглахаас гадна компанийн зохион байгуулалтын бүтцийн талаархи мэдээллээр хангадаг (жишээлбэл, чухал нөөц эсвэл ажилчдын үүрэг, хүртээмжийн түвшин).

UEBA шийдлүүдийг хэрэгжүүлэхэд тулгарч буй асуудлууд

UEBA шийдлүүдийн зах зээлийн зовлон нь тэдний өндөр үнэ, цогц хэрэгжилт, засвар үйлчилгээ, хэрэглээ юм. Компаниуд өөр өөр дотоод порталуудын тоотой тэмцэж байгаа ч өөр нэг консол авч байна. Шинэ хэрэгсэлд цаг хугацаа, нөөцийн хөрөнгө оруулалтын хэмжээ нь тулгарч буй ажлууд, тэдгээрийг шийдвэрлэхэд шаардагдах аналитикийн төрлөөс хамаардаг бөгөөд ихэвчлэн их хэмжээний хөрөнгө оруулалт шаарддаг.

Олон үйлдвэрлэгчдийн хэлж байгаачлан UEBA нь хэдэн өдрийн турш тасралтгүй ажиллах боломжтой "үүнийг тохируулаад мартдаг" хэрэгсэл биш юм.
Жишээлбэл, Gartner-ийн үйлчлүүлэгчид энэхүү шийдлийг хэрэгжүүлсэн асуудлуудыг шийдвэрлэх эхний үр дүнд хүрэхийн тулд UEBA-ийн санаачлагыг эхнээс нь эхлүүлэхэд 3-6 сар зарцуулдаг болохыг тэмдэглэж байна. Байгууллага дахь дотоод аюул заналыг тодорхойлох гэх мэт илүү төвөгтэй ажлуудын хувьд энэ хугацаа 18 сар хүртэл нэмэгддэг.

UEBA-г хэрэгжүүлэхэд хүндрэл учруулж буй хүчин зүйлүүд болон хэрэгслийн ирээдүйн үр нөлөө:

  • Байгууллагын архитектур, сүлжээний топологи, өгөгдлийн менежментийн бодлогын нарийн төвөгтэй байдал
  • Нарийвчилсан түвшний зөв мэдээллийн бэлэн байдал
  • Борлуулагчийн аналитик алгоритмуудын нарийн төвөгтэй байдал - жишээлбэл, статистик загвар, машин сургалтын энгийн загвар, дүрмийн эсрэг ашиглах.
  • Урьдчилан тохируулсан аналитикийн хэмжээ, өөрөөр хэлбэл ажил бүрийн хувьд ямар өгөгдөл цуглуулах шаардлагатай, шинжилгээ хийхэд ямар хувьсагч болон шинж чанарууд хамгийн чухал болохыг үйлдвэрлэгчийн ойлголт.
  • Үйлдвэрлэгч шаардлагатай өгөгдөлтэй автоматаар нэгтгэх нь хэр хялбар вэ.

    Жишээ нь:

    • Хэрэв UEBA-ийн шийдэл нь SIEM системийг мэдээллийнхээ үндсэн эх сурвалж болгон ашигладаг бол SIEM шаардлагатай мэдээллийн эх сурвалжаас мэдээлэл цуглуулдаг уу?
    • Шаардлагатай үйл явдлын бүртгэл, байгууллагын контекст өгөгдлийг UEBA шийдэл рүү чиглүүлэх боломжтой юу?
    • Хэрэв SIEM систем нь UEBA шийдэлд шаардлагатай мэдээллийн эх сурвалжийг цуглуулж, хянаж амжаагүй бол тэдгээрийг хэрхэн тийш шилжүүлэх вэ?

  • Байгууллагын хувьд програмын хувилбар хэр чухал вэ, түүнд хичнээн мэдээллийн эх сурвалж шаардлагатай вэ, энэ ажил нь үйлдвэрлэгчийн мэргэжлийн салбартай хэр зэрэг давхцаж байна вэ.
  • Байгууллагын төлөвшил, оролцоо ямар байх ёстой вэ - тухайлбал, дүрэм, загварыг бий болгох, боловсруулах, боловсронгуй болгох; үнэлгээнд зориулж хувьсагчид жин оноох; эсвэл эрсдэлийн үнэлгээний босгыг тохируулах.
  • Байгууллагын одоогийн хэмжээ болон ирээдүйн шаардлагуудтай харьцуулахад борлуулагчийн шийдэл болон түүний архитектур хэр зэрэг өргөжин тэлэх боломжтой вэ.
  • Үндсэн загвар, профайл, гол бүлгүүдийг бий болгох цаг болжээ. Үйлдвэрлэгчид "хэвийн" ойлголтыг тодорхойлохын тулд дор хаяж 30 хоног (заримдаа 90 хүртэл хоног) дүн шинжилгээ хийх шаардлагатай болдог. Түүхэн өгөгдлийг нэг удаа ачаалах нь загварын сургалтыг хурдасгах боломжтой. Маш бага хэмжээний анхны өгөгдөл бүхий машин сургалтыг ашиглахаас илүүтэйгээр зарим сонирхолтой тохиолдлуудыг дүрэм ашиглан хурдан тодорхойлох боломжтой.
  • Динамик бүлэглэл болон дансны профайл (үйлчилгээ/хүн) бий болгоход шаардагдах хүчин чармайлтын түвшин нь шийдлүүдийн хооронд ихээхэн ялгаатай байж болно.

Эх сурвалж: www.habr.com

сэтгэгдэл нэмэх